3.1 예외처리

3.1 예외처리

1. 보안약점 항목

• 오류 메시지 정보노출

2. 설명

• 오류메시지에 중요정보(개인정보, 시스템 정보, 민감 정보 등)가 노출되거나, 부적절한 에러 및 오류처리로 인하여 의도치 않은 상황이 발생하지 않도록 설계한다.

3. 보안대책

• 명시적인 예외의 경우 예외처리 블럭을 이용하여 예외 발생시 수행해야 하는 기능이 구현 되도록 해야 한다.
• 런타임 예외의 경우 입력값의 범위를 체크하여 애플리케이션이 정상적으로 동작할 수 있는 값만 사용되도록 보장해야 한다.
• 에러가 발생한 경우 상세한 에러 정보가 사용자에게 노출되지 않게 해야 한다.

4. 진단기준

• Exception 발생시 상세한 에러정보가 사용자에게 노출되지 않도록 설계되어 있는가?
• 에러로 상세정보가 노출되는지 점검하는 테스트 계획이 수립되어 있는가?

사례1 : 오류 메시지 정보노출
웹 서버에 별도의 에러페이지를 설정하지 않은 경우, 에러 메시지로 서버 데이터 정보 등 공격에 필요
한 정보가 노출되는 취약점이다.

사례2 : 시스템 정보노출
시스템, 관리자, DB정보 등 시스템의 내부 데이터가 공개되면, 공격자에게 또 다른 공격의 빌미를
제공하게 된다.